共享软件的信任声明通过凹陷社区信托注册表狗万体育手机官网

网络安全信息的共享软件是最有效的防御措施之一,消费者可以阻止黑客攻击。上周意图一直致力于开放软件保证守护社区信托注册™,SAG-CTR™公共访问。狗万体育手机官网我们很高兴宣布成功部署,将提高软件消费透明度可信赖的软件应用程序在应用程序商店和其他的软件产品在互联网上可用的。意图很高兴提供这种免费的公共服务来帮助软件消费者识别软件的可信度在任何试图安装一个设备。

这意味着任何人都可以检查信任分数(SAGScore™)为软件应用程序在应用程序商店,商业产品和开源软件产品在安装之前或购买一个软件产品。“可信软件”产品的数据库注册SAG-CTR™很稀疏,但这将改善随着时间的推移,越来越多的人提交“信任声明”列入SAG-CTR™数据库。SAG-CTR本文描述的概念实现了NIST消费类软件标签建议。

“宣言”一词定义如下:“一个正式的或显式声明或公告。”

“相信宣言”,用于SAG-CTR™上下文被定义为“一个正式的声明表达某种程度的信任在软件产品或工件”。信任的程度在一个“信任声明”表示使用分数从0到100,称为SAGScore。0表示没有信任的SAGScore SAGScore在软件产品,100意味着完全信任。大多数软件产品SAGScore高于0和100以下。SAGScore在概念上类似于FICO积分与标准和方法具体测量软件供应链风险。越高SAGScore软件产品的信任程度越高。

两种最常见的“信任声明类型”中列出SAG-CTR™是“可信软件”,这是“最强”类型的信任声明一个政党可以和“SAGScore”,这是一个信任声明只是一个清单的SAGScore软件产品登记。这个时候,只有“可信软件”信托声明被录取SAG-CTR™。SAGScore™信任声明将在不久的将来支持。

方希望供应“信任声明”插入SAG-CTR™必须首先执行一个软件风险评估使用SAG-PM™应用程序在软件应用程序或产品。这将产生一个SAGScore™以及证据数据生成的风险评估,用于计算SAGScore™。一方表示信任的类型声明他们希望使(“可信软件”或“SAGScore”)的评论栏内的“最终成绩”部分证据数据之前提交他们的信任声明请求包含的数据和证据意图SAG-CTR™。这个时候,只有“可信软件”信托声明被录取SAG-CTR™。

的SAG-CTR™看门人、意图、流程每个信托声明提交请求以确定证据提交的数据与信托声明请求支持信任的类型声明,一方请求插入SAG-CTR™。目前只有“可信软件”,最强的形式的信任声明,接受到SAG-CTR™数据库。SAGScore信任声明将在不久的将来支持。更多的细节描述SAG-CTR操作可以在这找到NIST归档软件标签对消费者。

所以,当公众的成员想知道“这是软件应用值得信赖的设备在安装之前?”他们可以检查SAG-CTR™为“可信软件”声明,使用免费使用3行Powershell脚本,获得信任分数,SAGScore™,软件的问题。目前SAG-CTR™数据库是人烟稀少的很多产品将报告一个SAGScore™为0。这将随着时间改变,随着越来越多的政党注册他们的信任声明软件产品。提交的声明“信任”是一个网络安全社区的许多方面可以与公众分享重要信息的可信度在互联网上可用的软件和应用程序商店。狗万体育手机官网

可能欠缺的中小型企业网络安全人员的技能进行全面软件供应链风险评估可以受益于这些政党有这个专业,并且愿意分享他们在SAG-CTR信任分数计算结果。这有助于整个社区采取有效措施防止有害软件安装狗万体育手机官网利用专家工作的良好的工作软件风险评估。一个简单的查询SAG-CTR可以通知SMB软件风险的企业,不需要昂贵的投资在员工和工具需要执行他们自己的风险评估。

这是Powershell脚本的副本我用来检查SAGScore最新JRE,后下载最新的Windows 64位JRE进我的下载文件夹中:

散列= Get-FileHash下载\ jre-8u351-windows-x64.exe美元
url = "美元https://softwareassuranceguardian.com/SAGCTR_inquiry/getSAGScore?FileHash=”+ $ hash.Hash
起动过程-FilePath $ url

注意:有些人问,为什么JRE SAGScore如此之低。这个分数计算基于NIST SP 800 - 161供应链风险管理标准。以下问题导致了低SAGScore:

——数字签名中列出的供应商名称不匹配的软件包

——没有SBOM可用

——没有NIST脆弱性信息披露报告(VDR)是可用的

——没有SSDF认证是可用的

新年快乐。